Kæmpe sikkerhedsbrøler i MacOS: Alle kan få admin-rettigheder uden kodeord

29. november 2017 kl. 10:1232
Kæmpe sikkerhedsbrøler i MacOS: Alle kan få admin-rettigheder uden kodeord
Illustration: Jesper Bille Haun (screenshot).
Ved at skrive 'root' som brugernavn og efterlade kodeordsfeltet tomt kan enhver opnå admin-rettigheder i den seneste udgave af MacOS.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En sårbarhed i den seneste udgave af MacOS gør det muligt for uvedkommende at opnå admin-rettigheder på styresystemet. Og sårbarheden er virkelig nem at udnytte.

Det kan flere medier fortælle, blandt andet The Register.

Sårbarheden findes på MacOS 10.13, også kaldet High Sierra. Sårbarheden kan udnyttes i de autentifikationsbokse, der dukker op i systemet, når en bruger eksempelvis ønsker at konfigurere netværksindstillinger. Her er det meningen, brugeren skal autentificere sig med eget brugernavn og kodeord.

Men hvis en bruger i stedet bare skriver 'root' som brugernavn og efterlader kodeordsfeltet tomt for så at trykke et par gange på enter, ja, så kan der opnås admin-rettigheder på systemet.

Artiklen fortsætter efter annoncen

The Register bemærker, at sårbarheden gør en person med fysisk adgang til maskinen i stand til at logge på og forårsage alskens ulykker. Det vil sige malware-installation etc.

Altså en træls situation i eksempelvis et åbent kontorlandskab, hvor mange kan have fysisk adgang til mange maskiner. Men måske ikke verdens undergang, som The Register skriver.

Mediet bemærker dog i forlængelse af dette, at »it's just really, really sad to see megabucks Apple drop the ball like this«.

Det er udvikler Lemi Orhan Ergan, der på Twitter har gjort den bredere offentlighed bekendt med sikkerhedshullet.

Remote video URL

Samme sikkerhedshul blev dog ifølge The Register diskuteret i al ubemærkethed på Apples udviklerforum for to uger siden.

Apple har udgivet en beskrivelse til en work-around, mens selskabet arbejder på en opdatering, der lukker sårbarheden. Version2 har fået tilsendt følgende udtalelse via Apples danske pr-firma:

»Vi arbejder på en softwareopdatering, som løser dette problem. I mellemtiden vil det forhindre uautoriseret adgang til din Mac, hvis man indstiller et root-password. Man finder instruktioner til at aktivere root-brugeren og og indstille et password her: https://support.apple.com/en-us/HT204012. Hvis en root-bruger allerede er aktiveret, skal man følge instruktionerne i afsnittet 'Change the root password' for at sikre, at den ikke er indstillet med et blankt password,« står der i meddelelsen, der har en unavngiven talsperson for Apple som afsender.

Version2 har bekræftet sårbarheden via en Mac i Mediehuset Ingeniørens digitale udviklingsafdeling. Udviklingsafdelingen har desuden testet sig frem til, at sårbarheden kun påvirker High Sierra.

Udviklingsafdelingen har leveret følgende gif, der demonstrerer problemet.

Gif placeholder

32 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
32
4. december 2017 kl. 11:53

Jeg tror vi alle er enig om at det er en alvorlig fejl som aldrig skulle være sendt ud... Beklager hvis jeg stødte nogen ved at prøve at rose Apple for trods alt at få fixet det hurtigt..

Du har selvfølgelig ret - i kontekst af it-sikkerhed: Fejlen er identificeret, kommunikeret, rettet. Geden er barberet. De negative reaktioner er vel blot fra folk der ikke rigtig ved noget om it-sikkerhed, eller tror it-sikkerhed er synonym for opensource væg-til-væg, gulv-til-loft?

30
30. november 2017 kl. 18:21

Jeg tror vi alle er enig om at det er en alvorlig fejl som aldrig skulle være sendt ud... Beklager hvis jeg stødte nogen ved at prøve at rose Apple for trods alt at få fixet det hurtigt...

29
30. november 2017 kl. 17:02

Måske fordi du skriver: "Points for hurtig respons!"

Nej, fejlen skulle være fundet inden udgivelsen, så der skulle være givet minus-point (også i flertal - ;-) )

28
30. november 2017 kl. 11:39

Hvorfor downvotes en kommentar der oplyser om et et patch er frigivet? Er det ikke relevant at oplyse folk om?

27
30. november 2017 kl. 09:36

Hvis gæste brugeren eller root brugeren ikke er slået til, så er der en "bagvej" hvis screen sharing er slået til. Via screen sharing kan man trigger exploit og logge ind med root fra Låseskærm/loginskærm.

Eller det kunne man, nu er en patch jo ude.

Hvis man vil læse en analyse af problemet, se https://objective-see.com/blog/blog_0x24.html

26
29. november 2017 kl. 23:37

Nu har jeg siddet og set på "videoen" i flere minutter, og den kommer ikke videre ;-)

24
29. november 2017 kl. 22:53

Du... Ehhh... Enabler en konto der som udgangpunkt er disabled for at sætte et password på den? Og det mener du bør man altid bør gøre?

Den er disabled som standard fordi det er mere sikkert. Eller retterem burde være det, hvis ikke nogen havde gjort i nællerne.

25
29. november 2017 kl. 22:53

Apple har allerede udsendt en patch der fixer problemet. Points for hurtig respons!

23
29. november 2017 kl. 21:23

Nej, men du kan logge ind som guest, bruge denne fejl til at "unlocke" admin-tingene, og enable "other" logins - og så logge ind som root uden password fra login-skærmen.

Ja. Så er det næste spørgsmål om guest er enabled pr. default. Jeg har to Macs og ingen af dem har guest accounts enabled. Men de er begge blevet opdateret et antal gange og jeg kan ærligt talt ikke huske om jeg rodet med den indstilling. Mine forsøg på at finde svaret på google har ikke båret frugt. Det eneste jeg har fundet er instruktioner til at enable guest mode - det kunne jo tyde på det er disabled pr. default.

22
29. november 2017 kl. 20:20

To store ulykker på én dag. Nordkorea har udviklet en nytårs-raket som de sandsynligvis rammer iDanmark med i et forsøg på at udslette USA. Og nu dette. Dommedags uret er et pænt stykke tættere på midnat.

20
29. november 2017 kl. 19:52

Men det kræver at gæste-login er "enablet". Min Mac på arbejde har kun mig som bruger, - og her kunne jeg ikke fremkalde problemet. På min hjemmecomputer med 4 brugere og ingen gæste-login kunne jeg gøre det på min egen konto (som er admin) - men ikke på de andre brugeres konti.

Bortset fra det så har Apple lige udgivet en patch, der skulle lukke hullet

18
29. november 2017 kl. 19:25

Det kan også udnyttes fra login skærmen.

Kan man på en standard opsat Mac logge ind fra login skærmen som root uden password? Alle de eksempler jeg har set har været vage omkring lige netop dette. Nogle antyder at man skal enable et eller andet først.

17
29. november 2017 kl. 19:09

Tobias Tobiasen:

Det kan også udnyttes fra login skærmen.

15
29. november 2017 kl. 16:06

Så vidt jeg kan gennemskue er dette kun et problem hvis man er logget ind som en almindelig bruger og har forladt sin computer ulåst. Er det virkeligt et kæmpe problem? Bevarares det er ikke smart, men er local privilege escalation er set før.

På min computer er den skade man kan lave væsentlig større når man er almindelig bruger end når man er root. Min bruger har jo ret til at slette alle mine filer, billeder, mails. Brugeren kan også poste på facebook, sende mails etc. Alt dette uden root login. Derfor låser jeg naturligvis min skærm når jeg efterlader min computer på sted hvor andre kan få fat i den.

At en ond hacker så også kan logge ind som root og installere ting og sager er et mindre problem. Det er naturligvis et problem hvis man deler computeren mellem mange brugere som man ikke kan stole på. Men hvor mange gør det med deres Mac?

14
29. november 2017 kl. 15:19

Jeg er ikke tilhænger af at normale brugere skal have sudo adgang så jeg bruger root til administrative ting, der kræver root adgang.
Jeg er med på at man ikke skal tillade root login udefra, men lokalt er helt fint, det er en opsætning i eens ssh daemon.

Best practice er vel at oprettet en separat bruger med sudo-adgang til at lave administration istedet for at bruge root. Et must hvis flere personer skal have mulighed for at lave admin-opgaver

13
29. november 2017 kl. 14:22

Virker IKKE på min 10.13.1.??? Og dog, man skal bare gøre det rigtigt, LOL

12
29. november 2017 kl. 14:05

Jeg er ikke tilhænger af at normale brugere skal have sudo adgang så jeg bruger root til administrative ting, der kræver root adgang. Jeg er med på at man ikke skal tillade root login udefra, men lokalt er helt fint, det er en opsætning i eens ssh daemon.

10
29. november 2017 kl. 13:23

Som bruger af begge platforme i mere end 25 år, ser jeg fejl og mangler hos begge, og til PC-fanatikerne vil jeg da blot errindre om Winows Me, Windows 2000, Vista m.v. så kom ikke her. Specielt efter internettets fremkomst, er det jo værktøjer vi skal tilgå med omtanke, og så er den vist ikke længere:-)

9
29. november 2017 kl. 13:13

Det er 100% efter sikkerhedshåndbogen. I tiden indtil patchen er installeret skal man ikke foretage sig andet end man allerede gør: Undgå at gå fra en ulåst enhed.

7
29. november 2017 kl. 12:55

Som mac "hader", synes jeg ikke det er noget stort problem, det er meget standard selv at ændre root kodeordet når man installere eller bruger eens o/s for første gang.

Men det er sikkert en fadæse uden lige for folk der ikke ved noget om bruger konti på unix lignende operativsystemer.

6
29. november 2017 kl. 12:55

Jeg måtte da lige kontrollere, for en sikkerheds skyld.

Root-bruger med løsen forlængst aktiveret. Er det ikke noget af det første man gør med en ny datamat?

5
29. november 2017 kl. 12:44

Er hverken fan af det ene eller andet. Men holdninger som den her er bare for slappe.

4
29. november 2017 kl. 12:29

... og med et trylleslag faldt den værdi jeg tillægger Apple-software med ni tiendedele. Jeg kan ikke retfærdiggøre macOS længere. Det er jo til grin det her.

2
29. november 2017 kl. 10:52

Åbn en terminal og skriv:

sudo passwd -u root

Sæt et kodeord, done.

1
29. november 2017 kl. 10:41

Har lige verificeret at jeg kan gøre det samme på min:

MacOS Version: 10.13.2 Beta (17C79a)